Вопросы по настройке роутера
Добавлено: 18 фев 2020, 12:28
Здравствуйте, можете подсказать по нескольким вопросам при настройке роутера для домашнего использования:
1. В Interface list WAN в случае подключения как dhcp client'a добавляем ether1 (интерфейс куда подключен кабель от провайдера)
Для pppoe уже в WAN оставляем только сам pppoe интерфейс ?
Или в таком случае нет защиты от сети провайдера, когда удаляем из списка ether1?
А если еще подключаем iptv через объединение ether1 и ether5 в bridge и далее этот bridge как интерфейс для pppoe.
Получается что pppoe внешняя сеть и bridge имеет внешнюю сеть от провайдера iptv, нам нужно защититься от обеих?
Т. е. что добавляем в список WAN -> pppoe и bridge или что-то одно или все 4 интерфейса (включая ether1 и ether5) ?
2. Если я не хочу создавать внутреннюю локальную сеть из оставшихся портов (ether2-ether3).
Для получения интернета на этих интерфейсах в любом случае необходимо создавать на каждый ether свой bridge, и потом dhcp и т. д?
Или можно как-то прописать самому ether'у -> ip?
В таком варианте не будет работать, т. к. не будет видно самого роутера?
Во всех примерах все строится через bridge, но нет объяснения почему именно так ))
Без bridge должен же работать просто switch без доп. накладных расходов? Или с fastpath на bride - это все не важно?
3. Полное правило на forward'У -> drop all from WAN not DSTNATed (с условием !dstnat) имеет смысл только если у нас есть доступ из вне?
А без доступа из вне можно просто отбрасывать все new без доп. условий?
4. Как работает правило firewall filters - fasttrack?
Например, в стандартной конфигурации, идет разрешение related и established - fasttrack (все что не попало в fasttrack пропускается этим самым правилом).
Далее правило accept related и established, untracked (пропускается все что не попало в fasttrack ) и в конце drop - invalid и new.
В данном варианте вызывает вопросы только разделение, что есть fasttrack, а что пойдет обычным путем.
Больше неопределенности с mark-connections.
Например, помечаем соединения steam, и в самом низу после всех drop'ов добавляем fasttrack с connection mark -> steam (без указания connection state) .
Получается что правило accept related и established, untracked будет пропускать только untracked или частично tracked частично untracked, а какие-то пакеты попадут в fasttrack в самом низу?
А если переместить fasttrack на самый верх, то он будет пропускать и invalid и new и т. д. все помеченные как steam?
(такого вида настройка представлена тут -> https://www.youtube.com/watch?v=k7JlzEcSzAo ...)
И зачем нужны dummy правила - это просто метка что есть fasttrack или они что-то делают?
5. Очереди вроде бы как не работают на fasttrack, но его можно ограничить в que tree через дочерний элемент с меткой -> no-mark.
В таком виде ограничения могут быть подводные камни?
Может быть это можно сделать проще через Interface que?
Upload у меня не получилось ограничить с помощью Interface que((
Извиняюсь за сумбурность в вопросах, только начинаю изучать настройку роутера.
1. В Interface list WAN в случае подключения как dhcp client'a добавляем ether1 (интерфейс куда подключен кабель от провайдера)
Для pppoe уже в WAN оставляем только сам pppoe интерфейс ?
Или в таком случае нет защиты от сети провайдера, когда удаляем из списка ether1?
А если еще подключаем iptv через объединение ether1 и ether5 в bridge и далее этот bridge как интерфейс для pppoe.
Получается что pppoe внешняя сеть и bridge имеет внешнюю сеть от провайдера iptv, нам нужно защититься от обеих?
Т. е. что добавляем в список WAN -> pppoe и bridge или что-то одно или все 4 интерфейса (включая ether1 и ether5) ?
2. Если я не хочу создавать внутреннюю локальную сеть из оставшихся портов (ether2-ether3).
Для получения интернета на этих интерфейсах в любом случае необходимо создавать на каждый ether свой bridge, и потом dhcp и т. д?
Или можно как-то прописать самому ether'у -> ip?
В таком варианте не будет работать, т. к. не будет видно самого роутера?
Во всех примерах все строится через bridge, но нет объяснения почему именно так ))
Без bridge должен же работать просто switch без доп. накладных расходов? Или с fastpath на bride - это все не важно?
3. Полное правило на forward'У -> drop all from WAN not DSTNATed (с условием !dstnat) имеет смысл только если у нас есть доступ из вне?
А без доступа из вне можно просто отбрасывать все new без доп. условий?
4. Как работает правило firewall filters - fasttrack?
Например, в стандартной конфигурации, идет разрешение related и established - fasttrack (все что не попало в fasttrack пропускается этим самым правилом).
Далее правило accept related и established, untracked (пропускается все что не попало в fasttrack ) и в конце drop - invalid и new.
В данном варианте вызывает вопросы только разделение, что есть fasttrack, а что пойдет обычным путем.
Больше неопределенности с mark-connections.
Например, помечаем соединения steam, и в самом низу после всех drop'ов добавляем fasttrack с connection mark -> steam (без указания connection state) .
Получается что правило accept related и established, untracked будет пропускать только untracked или частично tracked частично untracked, а какие-то пакеты попадут в fasttrack в самом низу?
А если переместить fasttrack на самый верх, то он будет пропускать и invalid и new и т. д. все помеченные как steam?
(такого вида настройка представлена тут -> https://www.youtube.com/watch?v=k7JlzEcSzAo ...)
И зачем нужны dummy правила - это просто метка что есть fasttrack или они что-то делают?
5. Очереди вроде бы как не работают на fasttrack, но его можно ограничить в que tree через дочерний элемент с меткой -> no-mark.
В таком виде ограничения могут быть подводные камни?
Может быть это можно сделать проще через Interface que?
Upload у меня не получилось ограничить с помощью Interface que((
Извиняюсь за сумбурность в вопросах, только начинаю изучать настройку роутера.